Die Digitalisierung erleichtert die Abwicklung vieler Geschäfte. Gleichzeitig stellt sie aber die bereits überlasteten Security Operations Center (SOC) vor neue Herausforderungen. Das SOC ist mit einer verschärften Bedrohungslage und einer steigenden Anzahl von Sicherheitsprodukten konfrontiert. Das führt dazu, dass die Security Analysten mit unzähligen Warnmeldungen überflutet werden. Und dies ausgerechnet in Zeiten von Fachkräftemangel bei den Sicherheitsexperten.
Flexibles SOC hilft dem CISO aus dem Dilemma
Die Aufgabe eines Chief Information Security Officers (CISO) ist es, im Rahmen des Budgets Cyber Security sicherzustellen. Sie brauchen also Lösungen, die die IT-Sicherheit maximieren und gleichzeitig die Bereitstellungs- und Betriebskosten unter Kontrolle halten. Komplexe Lösungen wie SOAR (Security Orchestration Automation and Response) gelten als teuer und aufwändig bei der Implementation. Deshalb bietet das SOC von terreActive einen Automatisierungsservice (SaaS) an, welcher auch Kunden mit kleinen Budgets zur Verfügung gestellt wird. Damit können anspruchsvolle Hackerangriffe gestoppt und die Effizienz des SOC zu erhöht werden.
Automatisierung Schritt für Schritt
SOAR bringt mittels definierten Abläufen und Arbeitsteilungen die Organisation vom Kunden und die des SOC-Dienstleisters enger zusammen. Indem sich die Prozesse beider Parteien im SOC vereinigen, gelingt es, Informationen automatisiert zu teilen. Die Zusammenarbeit wird dadurch erheblich beschleunigt. Im ersten Schritt werden viele kleine Aufgaben automatisiert, um die Experten von wiederkehrenden und langweiligen Routinearbeiten zu befreien. Im Zweiten werden ganze Runbooks automatisiert abgewickelt, wodurch vordefinierte Reaktionen auf Angriffe innert Sekunden erfolgen. Somit bleibt dem Angreifer viel weniger Zeit, um Schaden anzurichten.
Analyse und Reaktion durch Automatisierung beschleunigen
Die intelligente Gruppierung und Deduplizierung von Alarmen aus unterschiedlichen Quellen vereinfacht die Einstufung von Sicherheitsvorfällen und reduziert die erforderliche Erfahrung für die manuelle Beurteilung. Dadurch wird viel Zeit gespart und Analysen um bis zu 80 % beschleunigt.
Oft können Sicherheitsteams Bedrohungen nicht schnell genug beheben, es fehlt ein 7x24 Service. Um schnell ausbreitende Bedrohungen zu stoppen, müssen Teams in der Lage sein, Netzwerk-, Cloud- und Endpunkte zu durchsuchen und sofortige Abwehrmassnahmen auszuführen. SOAR ermöglicht den Zugriff auf die dafür notwendigen Systeme und erlaubt es dem 7x24 SOC von terreActive, auch ausserhalb der Bürozeiten schnell zu reagieren. terreActive stellt ausserdem Runbooks für unzählige Use-Cases (Angriffsvarianten) zur Verfügung, was die Implementation von SOAR stark vereinfacht.
Beim Projektstart integrieren die Security-Experten die notwendigen SOAR-Komponenten und wählen die für den Kunden passenden Runbooks aus der Datenbank aus oder entwickeln bei Bedarf Zusätzliche. Von einem SOAR-Projekt können anschliessend auch Kollegen ausserhalb der Security-Abteilung profitieren, indem sie die Automatisierung beispielsweise für ein Ticketing nutzen, was mit wenig Schulungsaufwand erreicht werden kann. Dadurch wird eine hohe Qualität bei der Behandlung von Vorfällen über alle Abteilungen hinweg garantiert und kontinuierlich verbessert.
Supply Chain SecurityBei allen Vorteilen der Automation darf ein Aspekt nicht vernachlässigt werden: Eine SOAR SaaS-Lösung darf nicht selbst zu einer Bedrohung für Kunden werden. Deshalb muss der Security-Dienstleister ein Schutzkonzept vorweisen können und Massnahmen treffen, um unerlaubten Zugang über SOAR zu verhindern.
Will ein Unternehmen die eigenen Mitarbeitenden entlasten, kann SOAR auch als Managed Service bezogen werden. terreActive setzt für SOAR auf Cortex XDR als eine der ersten Plattformen für die automatisierte Bedrohungserkennung und -bekämpfung. Die Plattform stellt Netzwerk-, Endpunkt- und Cloud-Daten zueinander in Beziehung, um komplexe Angriffe zu stoppen.
Kontakt:
terreActive AG
www.security.chinfo@terreActive.ch
062 834 00 55
